Was bedeutet Datenschutz?

Datenschutz ist Persönlichkeitsrechtsschutz

Datenschutz dient dazu, den Einzelnen vor Beeinträchtigungen in seinem Persönlichkeitsrecht durch den Umgang mit seinen personenbezogenen Daten zu schützen (§1 Abs.1 BDSG).

Datenschutz ist Compliance

Der Datenschutz beinhaltet die gesetzliche Verpflichtung der Daten verarbeitenden Stelle, personenbezogenen Daten nur auf die im Gesetz vorgesehene Art und Weise zu erheben, zu verarbeiten und zu nutzen. Diese Verpflichtung hat ihre Wurzeln im Grundgesetz, in dem der Staat den Schutz der Persönlichkeit, Individualität und Freiheit des Menschen als Aufgabe hat.

Datenschutz ist ein Grundrecht

Im Grundgesetz ist der Datenschutz mit dem Grundrecht auf informationelle Selbstbestimmung verankert. Demnach hat jeder das Recht selber zu entscheiden, welche Daten wie und wo über ihn erfasst werden.

Datenschutz ist nicht Schutz von Daten

Wir sehen, dass Datenschutz nicht „Schutz von Daten“ ist – zumindest nicht der technische Schutz von Daten. Das wäre die Datensicherheit, die vom Datenschutz abzugrenzen ist und nach §9 BDSG Teil des Datenschutzes ist. Schließlich ist eine EInhaltung von Regeln ohne ein Mindestmaß technischer Datensicherheit kaum leistbar.

Die Datensicherheit befasst sich mit den technischen und organisatorischen Möglichkeiten und Maßnahmen (den sog. TOMs), die ergriffen werden können, um die Daten vor Missbrauch und Angriffen zu schützen. Hierbei fallen unter den Begriff der „Daten“ nicht nur personenbezogene, sondern auch Betriebsgeheimnisse, Geschäftsdaten, etc.


Was sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist in §3 Abs.1 BDSG definiert.
Darin heißt es, dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem Betroffenen, sind.

Damit ist der Begriff der personenbezogenen Daten weit gefasst, denn unter den Begriff fallen alle Daten, die einen Rückschluss auf eine natürliche Person schließen lassen.

Hierzu zählen zum Beispiel Name und (IP-) Adresse, Körper-/Kleider- und Schuh-Größe, KFZ-Kennzeichen, Anzahl der Kinder, Kontonummer und -stand,

Auch Foto- oder Videoaufnahmen sind personenbezogene Daten, wenn die Person darauf identifizierbar ist. Zur Unkenntlichmachung von Bildaufnahmen reicht es nicht aus, nur einen Balken vor das Gesicht zu machen, vielmehr darf auch das Übrige, noch sichtbare keinen Aufschluss über die Person geben. Mehr dazu unter Bildrecht.

Natürliche Personen sind Menschen, im Gegensatz zu Firmen oder Unternehmen, welche als juristische Personen bezeichnet werden. Juristische personen haben kein Privatleben, sondern vielmehr eine Veröffentlichungspflicht, z.B. hinsichtlich Kapital und Vertretung im Handelsregister und hinsichtlich des Abschlusses im Bundesanzeiger.

Das heißt also, dass die Adresse eines Unternehmens in Form einer juristischen Peson nicht zu den personenbezogenen Daten zählt.

 


Wo ist der Datenschutz geregelt?

Regelungen im BDSG

Der Datenschutz ist in mehreren Normen geregelt. Eine wichtige ist dabei das Bundesdatenschutzgesetz (BDSG), welches 1977 erlassen wurde und im September 2009 durch die Datenschutznovellen I und II reformiert wurde.

Datenschutz als Europarecht

Das Bundesdatenschutzgesetz basiert auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die häufig kurz als EU-Datenschutz-Richtlinie bezeichnet wird.
Das Manko einer EU-Richtlinie besteht darin, dass es bei der Umsetzung in nationales Recht in der Regel zu heterogenen nationalen Regelungen kommt. Diese nationalen Unterschiede haben innerhalb der EU gravierende Ausmaße angenommen. Seit 2012 wird daher eine Debatte über eine EU-Datenschutz-Grundverordnung geführt. Im Unterschied zu einer EU-Richtlinie ist eine EU-Verordnung unmittelbar geltendes Recht in jedem EU-Mitgliedsstaat.

Landesdatenschutzgesetze als Landesrecht

Wie der Name schon sagt, handelt es sich beim BDSG um ein Bundesgesetz. Es müssen sich also die öffentlichen Stellen des Bundes daran halten wie die sog. nicht-öffentlichen Stellen, d.h. Privatwirtschaft, Vereine, Verbände etc..

Neben dem Bundesrecht gibt es  für die öffentlichen Stellen der Länder das jeweilige Landesdatenschutzgesetz, in Hessen ist dies das Hessische Datenschutzgesetz (vgl. §3 HDSG). Das Landesrecht ist für die Behörden des Landes, die Gemeinden und Kommunen sowie die Körperschaften des Landes (z.B. Sparkassen, Universitäten, …) bindend.

Spezialgesetzliche Vorschriften

Zusätzlich finden sich für bestimmte Bereiche Spezialvorschriften in den jeweiligen Gesetzen, so zum Beispiel für den Bereich der Telekommunikation in den §§ 88 ff TKG oder für die Telemediendienste in den §§ 11-15a TMG.

Datenschutz in der Verfassung

Der Schutz der Daten ist aus den Art.1 und Art.2 GG abzuleiten. Darin wird die allgemeine Handlungsfreiheit des Menschen geschützt. In dem Volkszählungsurteil des Bundesverfassungsgerichts wurde aus den Artikeln des Grundgesetzes das Recht auf informationelle Selbstbestimmung abgeleitet. Demnach hat Jeder das Recht zu entscheiden, welche Daten, in welchem Umfang wie und von wem erhoben werden. Des Weiteren ist in Art.10GG das Fernmelde-  und das Postgeheimnis benannt.

In der Entscheidung zur Onlinedurchsuchung ais 2008 hat as Bundesverfassungsgericht ein weiteres Grundrecht definiert, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Dies ist eng mit dem Thema Datensicherheit verknüpft.


Wer ist verantwortliche Stelle im Sinne des Datenschutzes?

Laut BDSG ist verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§3 Abs.7 BDSG).

Daraus ist zu schließen, dass die Daten verarbeitende Stelle nicht zwingen auch die verantwortliche Stelle ist.

Wenn die Verarbeitung der Daten ausgelagert wird, handelt es sich vermutlich um eine Auftragsdatenverarbeitung und §11 BDSG ist einschlägig.Allerdings nur, wenn die in §11 BDSG definierten Kriterien zutreffen, ansonsten spricht man von einer Funktionsübertragung. Eine Funktionsübertragung liegt insbesondere immer dann vor, wenn die Weisungs- und Kontrollrechte faktisch nicht durchsetzbar sind, etwa wenn die verarbeitung durch das Mutterunternehmen oder eine andere Einheit mit gesellschaftsrechtlich dominanter Stellung ausgeführt wird oder wenn aufgrund eines Machungleichgewichts die Durchsetzung von Weisungs- und Kontrollrechten faktisch unmöglich ist.

In §11 BDSG wird ausdrücklich geregelt, dass der Auftraggeber, also die Stelle, welche die Verarbeitung auslagert, verantwortlich für die Einhaltung der Datenschutzeregelungen ist.

Die datenverarbeitende Stelle  – der Auftragnehmer oder Auftragsdatenverarbeiter – ist von ihm unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Der Auftraggeber steht als verantwortliche Stelle auch in seiner Pflicht sich vor Beginn des Vertragsverhältnissen und sodann regelmäßig von der Einhaltung der Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren. Wichtig ist auch, dass der Auftrag zur Datenverarbeitung schriftlich erteilt wird.

Die Auslagerung der Datenverarbeitung ist somit keine Abtretung der Verantwortung!


Ich habe die Verarbeitung ausgelagert – wer ist verantwortlich für den Datenschutz?

Wenn die Verarbeitung der Daten ausgelagert wird, handelt es sich um eine Auftragsdatenverarbeitung und §11 BDSG ist einschlägig. Darin wird ausdrücklich geregelt, dass der Auftraggeber, also die Stelle, welche die Verarbeitung auslagert, verantwortlich für die Einhaltung der Datenschutzregelungen ist. Die datenverarbeitende Stelle ist von ihm unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Es steht auch in seiner Pflicht sich vor Beginn des Vertragsverhältnissen und sodann regelmäßig von der Einhaltung der Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren. Wichtig ist auch, dass der Auftrag zur Datenverarbeitung schriftlich erteilt wird. Die Auslagerung der Datenverarbeitung ist somit keine Abtretung der Verantwortung!


Welche Unternehmen müssen den Datenschutz beachten?

Die Regelungen des Datenschutzes sind von jedem Unternehmen zu beachten – unbeachtlich ist die Größe, der Umsatz, die Anzahl der Mitarbeiter oder Branche/Tätigkeit.

Auch Freiberufler, eingetragene Vereine oder Niederlassungen ausländischer Unternehmen haben den Datenschutz in Deutschland zu beachten.

Größen-Kriterien wie die Tätigkeiten der Mitarbeiter spielt zum Beispiel bei der Frage eine Rolle, ob ein Datenschutzbeauftragter zu bestellen ist oder nicht.


Wann wird das Bundesdatenschutzgesetz (BDSG) angewandt?

Das BDSG findet gemäß §1 Abs.2 BDSG Anwendung für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes (z.B.: Behörden §2 Abs. 1 BDSG)und nicht-öffentlichen Stellen (z.B.: Gesellschaften §2 Abs.4 BDSG).

Die Anwendung ist dagegen ausgeschlossen, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Sobald zu einem Bereich Spezialvorschriften zum Datenschutz existieren, zum Beispiel in den Sozialgesetzbüchern oder im TKG, sind diese zu erst (primär) heranzuziehen.

Das BDSG ist nur dann anwendbar, wenn in den Spezialregelungen  – wie z.B. in den Spezialgesetze Telekommunikationsgesetz (TKG), Telemediengesetz (TMG) oder Gesetz gegen den unlauteren Wettbewerb (UWG) Regelungslücken bestehen. Das Bundesdatenschutzgesetz ist somit subsidiär heranzuziehen.


Was bedeutet „automatisierte Verarbeitung“?

Eine automatisierte Verarbeitung liegt immer dann vor, wenn personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden. Die Begriffsbestimmung ist in §3 Abs.2 BDSG zu finden. Unter Datenverarbeitungsanagen sind Einrichtungen zu verstehen, die Daten nach vorgegebenen Programmen und Schemata verarbeiten. Dies sind alle Computer, auf denen eine Speicherung oder Verarbeitung personenbezogener Daten stattfindet. Zu den Datenverarbeitungsanlagen gehören nicht solche Systeme oder Hilfsmittel, die manuell bedient werden müssen wie zum Beispiel ein manuelles Drucksatzsystem. Durch die Datenverarbeitungsanlagen muss dem Verwender ein Vorteil entstehen, indem er erleichterten Zugang zu den Daten hat und diese erleichtert auswerten kann. Aus diesem Grund fallen solche Anlagen nicht unter Datenverarbeitungsanlagen, die Daten lediglich transportieren oder kopieren (Fax-Gerät, Kopierer).


Was sind besondere Arten personenbezogener Daten?

Besondere Arten von personenbezogenen Daten sind besonders schützenswerte Arten von Daten.

Legaldefinition in §3.IX BDSG

§ 3 Abs. 9 des Bundesdatenschutzgesetzes definiert besondere Arten personenbezogener Daten als „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“

Die Erhebung, Verarbeitung und Nutzung dieser Daten ist an besondere Voraussetzungen gebunden, wie etwa eine Vorabkontrollpflicht durch den Datenschutzbeauftragten oder die Aufsichtsbehörde sowie an eine besondere Sorgfältigkeit.

Vorabkontrolle Daten (häufig auch: Vorabprüfung)

Die Vorabkontrolle ergibt sich aus §4d Abs.5 BDSG.

Eine Vorabkontrolle soll vor Beginn der Verarbeitung sicherstellen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Dies ist zu tun, wenn

  • besondere Arten personenbezogener Daten verarbeitet werden sollen
  • die Daten eine Person in dessen Persönlichkeit, seinen Fähigkeiten, seiner Leistung oder seines Verhaltens beurteilt werden soll.

Die Vorabkontrolle ist durch den Datenschutzbeauftragten durchzuführen. Wenn o.g. Verarbeitungen in einem Unternehmen durchgeführt werden, muss grundsätzlich und unabhängig von Größenkriterien ein Datenschutzbeauftragter bestellt sein.

Daten bei denen eine Meldepflicht im Fall der Data-Leaks besteht

Eine etwaige Meldepflicht an Aufsichtsbehörden ergibt sich aus §42a BDSG

  • besondere Daten personenbezogener Daten
  • Berufsgeheimnisse
  • strafbare Handlungen oder ORdnungswidrigkeiten oder der Verdacht darauf
  • personenbezogene Daten zu Bank- oder Kreditkartendaten

Sind Name und Vorname schon personenbezogene Daten?

Unter personenbezogenen Daten sind nach §3.I BDSG alle Arten mittelbarer und unmittelbarer Informationen über eine bestimmte oder bestimmbare natürliche Person zu verstehen. Siehe auch den Artikel zu personenbezogenen Daten.

D.h., Name, Vorname, Adresse, Telefonnumer etc. sind bereits solche Einzelangaben und damit personenbezogene Daten.

Personenbezogene Daten im Unternehmen findet man z.B. bei der Personalverwaltung, im Fuhrparkmanagement, in der IT, im Kundendienst, dem Vertrieb oder Customer Care, im Lieferantensystem, am Empfang bzw. beim Sicherheitsdienst.

Spannend wird es bei Grenzfällen, ob es sich um personenbezogene Daten handelt. Eine IP-Adresse ist selbst dann als personenbezogenes Dateum einzustufen, wenn es sich um eine sog. dynamische IP-Adresse handelt, die sich alle 24 Stunden ändert.
Bei verschlüsselten Daten spricht man zumindest dann nicht mehr von personenbezogenen Daten, wenn sie hinreichend verschlüsselt sind. Dabei ist allerdings streitig, ab wann von einer hinreichenden verschlüsselung auszugehen ist. Einige Landesaufsichtsbehörden bezwifeln das selbst bei einem 20stelligen Passwort. Das ist jedoch auch nur eine Meinung.


Was ist Datensicherheit/ IT-Sicherheit?

Datensicherheit meint den technischen Schutz der Daten vor Missbrauch, Manipulation, Verlust oder anderen Bedrohungen und Schäden. Durch die Datensicherheit wird die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet. Somit ist eine hinreichende Datensicherheit essentiell für die Gewährleistung des Datenschutzes. Die Anforderungen an die Datensicherheit sind in den technisch-organisatorischen Maßnahmen geregelt (siehe Anlage zu §9 S.1 BDSG).


Was sind technisch-organisatorische Maßnahmen – kurz TOMs?

Die TOMs sind die „Acht Gebote des Datenschutzes“: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot. Diese sind in der Anlage zu §9 S.1 BDSG genauer definiert. So können geeignete Schutzmaßnahmen zum Beispiel durch Alarmanlagen, biometrischer Benutzeridentifikation und dem Vier-Augen Prinzip umgesetzt werden. TOMs haben den Zweck, die Daten so schützen zu können, dass es dem BDSG gerecht wird. Die technisch-organisatorischen Maßnahmen sind von solchen Unternehmen zu ergreifen, die entweder selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen. Die TOMs müssen von den betroffenen Unternehmen nur in der Weise umgesetzt werde, wie es ihnen zumutbar ist. So ist es einem kleinen Unternehmen nicht zumutbar ein mit hohen Kosten verbundenes biometrischen Zugangssystem einzubauen, wenn die Ausgabe von Schlüsseln an befugte Personen eine ebenso zielerreichende Maßnahme darstellt.


Was ist Erhebung, Verarbeitung, Nutzung?

Diese Begrifflichkeiten finden sich in §3 Abs.3,4,5 BDSG. Unter Erheben wird die reine Datenbeschaffung über den Betroffenen verstanden, unbeachtlich auf welche Weise die Daten beschaffen werden. Der Begriff Verarbeiten umfasst vier Kategorien. Zuerst ist das Speichern zu nennen, welches das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung. Unter Verändern wird das inhaltliche Umgestalten gespeicherter personenbezogener Daten verstanden. Übermitteln stellt das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten dar, in der Weise, dass die Daten entweder an den Dritten weitergegeben werden oder der Dritte Einsicht in zur Einsicht oder Abruf bereitgehaltene Daten erhält oder diese abruft. Des Weiteren zählt das Sperren zu „Verarbeiten“ und ist als Kennzeichnen gespeicherter personenbezogener Daten, zum Zwecke der Einschränkung der weiteren Verarbeitung oder Nutzung definiert. Zuletzt wird noch das Löschen aufgelistet, welches die Unkenntlichmachung gespeicherter personenbezogener Daten ist. Unter Nutzen wird jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt, verstanden. Dies stellt somit ein Auffangtatbestand dar, da jegliche andere Benutzung der Daten umfasst ist und nichts ausgeschlossen werden kann.


Wann dürfen personenbezogene Daten überhaupt verarbeitet werden?

§ 4 des Bundesdatenschutzgesetzes sagt aus, dass personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden dürfen, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder wenn der Betroffene ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Des Weiteren müssen die personenbezogenen Daten beim Betroffenen direkt und nicht bei einem Dritten erhoben werden. Weiterhin gilt insbesondere § 28 Abs.(1) 1., wonach personenbezogene Daten auch erhoben, verarbeitet, genutzt und übermittelt werden dürfen, wenn die verantwortliche Stelle ein vertragliches oder vertragsähnliches Vertrauensverhältnis (Bsp.: Dienst- oder Kaufvertrag, bei Arbeitsvertrag s. §32) mit dem Betroffenen hat. Unter 2. desselben Absatzes wird noch ergänzt, dass diese Datenverarbeitung auch zur Wahrung berechtigter Interessen der verantwortlichen Stelle möglich sein kann oder auch wenn die Daten allgemein zugänglich sind oder von der verantwortlichen Stelle veröffentlicht werden durften (3.).
In jedem Falle muss jedoch die Zweckbindung der Erhebung, Verarbeitung, Nutzung und Übermittlung dieser personenbezogenen Daten gewahrt bleiben. Dies bedeutet, dass personenbezogene Daten nur für einen bestimmten konkreten Zweck erhoben werden dürfen, der vor der Erhebung festgelegt wurde und nicht im Nachhinein erweitert werden darf.


Wann ist die Zulässigkeitsvoraussetzung für die Verarbeitung personenbezogener Daten gegeben?

Die Zulässigkeitsvoraussetzung ist gegeben, wenn es eine rechtliche Grundlage für die Erhebung gibt, der Betroffene eingewilligt hat oder eine der Voraussetzungen aus §28 BDSG vorliegen. Diese sind sofern es zur Anbahnung oder Erfüllung eines Vertragsverhältnisses mit dem Betroffen dient (zum Beispiel im Arbeitsvertrag), wenn es für den Geschäftszweck erforderlich ist und das berechtigte Interesse des Betroffenen nicht überwiegt oder die Daten der Öffentlichkeit zugänglich sind, wie dem Telefonbuch, oder sie anderweitig veröffentlicht werden dürften. Für die Zulässigkeit der Erhebung, muss diese für einen konkreten vorher festgelegten Zweck geschehen.


Was muss bei der Einwilligung des Betroffenen beachtet werden?

Es müssen bestimmte Kriterien erfüllt sein, dass die Einwilligung wirksam ist. Zuerst einmal muss die Einwilligung vor der Erhebung, Verarbeitung oder Nutzung beim Betroffenen eingeholt werden. Nach §4a BDSG muss die Einwilligung auf der freien Entscheidung des Betroffenen beruhen. Dieser kann sich nur frei entscheiden, wenn er über den Zweck der Erhebung, die Vor- und Nachteile der Einwilligung sowie über die jeweiligen Konsequenzen, besonders auf die Konsequenzen der Verweigerung der Einwilligung, aufgeklärt wurde, er also informiert ist. Des Weiteren bedarf die Einwilligung der Schriftform, eine mündliche Zusage ist von daher nicht wirksam, es sei denn, es liegen besondere Umstände vor. Sobald die Einwilligung mit anderen Erklärungen zusammen schriftlich erteilt werden soll, so muss die Einwilligung besonders hervorgehoben werden. Dies kann farblich oder durch eine Umrandung passieren.


Wer kontrolliert, ob mein Unternehmen die Datenschutzbestimmungen einhält?

Die Kontrolle erfolgt auf zwei Ebenen. Zum einen ist dies von außen durch die Aufsichtsbehörde, die über Kontrollbefugnisse gegenüber den Unternehmen verfügt und berechtigt ist, Bußgelder zu verhängen. Jedes Bundesland ordnet die Aufsichtsbehörden für die Privatwirtschaft anderen Behörden zu, sodass sie in jedem Bundesland unterschiedlich zugeordnet sind. Die Kontrolle von außen wird auch die Betroffenen verübt, die ein Auskunftsrecht gegenüber den Unternehmen haben, über die Verarbeitung ihrer Daten zu erfahren. Die zweite Ebene ist von innen durch die Selbstkontrolle, welche durch die Institution des betrieblichen Datenschutzbeauftragten ausgeübt wird. So haben Unternehmen, die Daten an Dritte weitergeben, die Pflicht, die Einhaltung der datenschutzrechtlichen Bestimmungen des Empfängers zu überprüfen.


Wer ist für die Einhaltung der Datenschutzbestimmungen verantwortlich?

Für die Einhaltung der Datenschutzbestimmungen ist immer die Unternehmensleitung verantwortlich.

Auch wenn ein Datenschutzbeauftragter bestellt wurde, ist die Unternehmensleitung verantwortlich.
Der Datenschutzbeauftragte hat eine Hinwirkungspflicht, jedoch keine Weisungsbefugnis. Er ist schließlich keine zweite Geschäftsleitung.
Verletzt der Datenschutzbeauftragte jedoch seine Hinwirkungspflicht, so ist er u.U. selbst haftbar –
jedoch nicht im Außenverhältnis, sondern nur im Innenverhältnis zum Unternehmen.


Wer muss einen Datenschutzbeauftragten bestellen und wer darf dazu bestellt werden?

Gemäß §4f BDSG muss jede öffentliche und nicht-öffentliche Stelle einen Datenschutzbeauftragten schriftlich bestellen, sofern sie personenbezogene Daten automatisiert verarbeitet. Nicht-öffentliche Stellen haben dies innerhalb eines Monats nach Aufnahme der Tätigkeit zu tun. Die Bestellung des Datenschutzbeauftragten und die Meldung entfallen bei nicht-öffentlichen Stellen nur dann, wenn in der Regel höchstens neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Er muss also erst bestellt werden, wenn mehr als neun Personen mit der automatisierten Datenverarbeitung beschäftigt sind. Ein Datenschutzbeauftragter muss weiterhin bei anderweitiger Datenerhebung bestellt werden, wenn in der Regel mindestens 20 Personen damit beschäftigt sind. Es dürfen nur solche Mitarbeiter zum Datenschutzbeauftragten bestellt werden, die über zur Erfüllung seiner Aufgaben erforderliche Fachkenntnis und Zuverlässigkeit besitzt. Das heißt, es müssen Kenntnisse im Datenschutz und ein technisches Verständnis vorliegen. Zum Beauftragten für den Datenschutz kann auch eine externe Person bestellt werden.


Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

Im Gesetz (§4f Abs.2 BDSG) muss der potentielle Datenschutzbeauftragte zwei Voraussetzungen erfüllen. Diese sind die erforderliche Fachkunde und Zuverlässigkeit zur Erfüllung seiner Aufgaben.  Es ist von daher notwendig, dass der Datenschutzbeauftragte juristische und technische Kenntnisse besitzt sowie didaktische und organisatorische Fähigkeiten. Die geforderten Fachkenntnisse können auch nach der Berufung zum Datenschutzbeauftragten erworben werden, zum Beispiel in Seminaren, Lehrgängen oder Schulungen. Beachtet werden sollten die Mindestanforderungen für Datenschutzbeauftragte, welche die Aufsichtsbehörden der Privatwirtschaft (Düsseldorfer Kreis) Ende 2010 entwickelt haben. Neben den fachlichen Kenntnissen, darf der Datenschutzbeauftragte auch in keinem Interessenskonflikt mit seiner Tätigkeit stehen, das heißt es dürfen keine Zweifel bestehen, dass er seine Aufgaben zuverlässig ausüben kann. So ist es zum Beispiel unzulässig die Geschäftsführung, den Leiter der Personalabteilung oder den IT-Leiter zum Datenschutzbeauftragten zu bestellen.


Was macht der Datenschutzbeauftragte und wie erreiche ich ihn?

Die Aufgaben des Datenschutzbeauftragten sind in §4g BDSG definiert. Er hat vor allem auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken. Zu seinen Aufgaben zählt die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Um dies zu erreichen, ist der Datenschutzbeauftragte rechtzeitig über Vorhaben der automatisierten Verarbeitung personenbezogener Daten zu unterrichten. Eine weitere Aufgabe besteht darin, die mit der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes und anderen Vorschriften über den Datenschutz und mit den jeweils besonderen Erfordernissen des Datenschutzes vertraut zu machen. Der Beauftragte für den Datenschutz ist insofern zu erreichen, dass Betroffene sich jederzeit an ihn wenden können.


Was bedeutet Vorabkontrolle?

Die Vorabkontrolle ist eine Prüfung vor Beginn der Verarbeitung, wenn die automatisierte Verarbeitung besondere Risiken für die Rechte und Pflichten der Betroffenen birgt. Sie ist vor allem dann durchzuführen, wenn eine Verarbeitung besonderer Arten personenbezogener Daten aus §3 ABs.9 BDSG stattfindet oder die Verarbeitung personenbezogener Daten der Bewertung der Persönlichkeit des Betroffenen dient, einschließlich seiner Fähigkeiten, Leistung oder Verhalten. Die Vorabkontrolle ist nicht durchzuführen, wenn eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Die Vorabkontrolle unterliegt der Zuständigkeit des Datenschutzbeauftragten, sie wird durch ihn vorgenommen.


Wo ist der Arbeitnehmerdatenschutz gesetzlich geregelt?

Einen eigenen Abschnitt bezüglich des Arbeitnehmerdatenschutzes gibt es bisher noch nicht im Datenschutzgesetz. Allerdings wird in einzelnen Paragraphen auf den Arbeitnehmer eingegangen. So fällt der Arbeitnehmer unter den Begriff des „Beschäftigten“ (§3 Abs.11 BDSG). Eine weitere Norm ist §32 BDSG, in der sich Regelungen für die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses befinden. Der überwiegende Teil an Regelungen ist daher aus der Rechtsprechung, also Entscheidungen von Richtern, zu ziehen. Da diese Handhabung nicht zufriedenstellend ist, gab es Vorschläge in das Bundesdatenschutzgesetz ein Abschnitt für Arbeitnehmerdatenschutz einzufügen. Dieser wurde allerdings von der Europäischen Union abgelehnt und trat deshalb nicht in Kraft. Ob das Thema Arbeitnehmerdatenschutz in der nächsten Legislaturperiode thematisiert wird, ist fraglich.


Dürfen Geburtstagslisten aufgehängt werden?

Das Geburtsdatum und das Jahr in Zusammenhang mit dem Namen sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes, da sie Rückschlüsse auf die Person zulassen. Von daher ist ein Aushang von Geburtstagslisten nicht zulässig. Der Aushang kann nur dann möglich sein, wenn die Betroffenen eingewilligt haben. Die Geburtsdaten dürfen nach §32 BDSG für die Begründung des Arbeitsverhältnisses erhoben, verarbeitet und genutzt werden. Von daher ist die Personalabteilung zu der Erhebung berechtigt, nicht aber zu einer Preisgabe der Geburtstagsdaten.


Dürfen private Adressen oder Telefonnummern ausgehängtoder weitergegeben werden?

Bei der privaten Adresse und Telefonnummer handelt es sich um personenbezogene Daten. Von daher ist eine Weitergabe ohne Einwilligung oder gesetzliche Grundlage nicht erlaubt. Eine gesetzliche Grundlage könnte in §32 BDSG liegen, worin die Datenverarbeitung und Nutzung für die Durchführung des Beschäftigtenverhältnisses erlaubt ist. Dies ist könnte zum Beispiel der Fall sein, wenn Berufsbereitschaft besteht. Hier ist es eventuell nötig die Telefonnummer an Kollegen weiterzugeben, sodass diese bei Bedarf anrufen können. Zu empfehlen ist in solchen Fällen ein Mobiltelefon, welches von dem Unternehmen zur Verfügung gestellt wird und an den Mitarbeiter gegeben wird, welcher Bereitschaftsdienst hat.


Wann sind Bewerbungsunterlagen zu löschen?

Grundsätzlich dürfen personenbezogene Daten, die in den Bewerbungsunterlagen enthalten sind, nur für die Dauer der Zweckerreichung gespeichert werden. Von daher dürfen Bewerbungsunterlagen für den Zeitraum der Auswahl gespeichert werden. Die Bewerbungsunterlagen von den Bewerbern, welche eine Absage erhalten, empfiehlt es sich, die Unterlagen drei Monate nach Zusenden der Absage zu löschen. So können die Gründe der Absage noch hervorgebracht werden, sodass eine Diskriminierung ausgeschlossen werden kann. Es besteht allerdings die Möglichkeit, die Bewerbungsunterlagen zu behalten, um bei passenden Stellenausschreibungen darauf zurückgreifen zu können. Dies bedarf aber der Einwilligung des Bewerbers.


Was sind die Folgen einer Rechtsverletzung?

Die Rechtsverletzungen sind in §43 BDSG aufgeführt und beinhalten zum Beispiel die unerlaubte Datenerhebung. Die Folge einer Rechtsverletzung hängt von deren Schwere ab. Sie kann sich auf eine Geldbuße bis zu 50.000€ in leichten und bis zu 300.000€ in schwerwiegenden Fällen belaufen. Des Weiteren wird eine vorsätzlich getätigte Rechtsverletzung  nur auf Antrag verfolgt und mit einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft (§§43, 44 BDSG).


Was beinhalten Auskunftsrecht und Auskunftspflicht?

Das Auskunftsrecht hat jeder Betroffene inne. Auf Seite der verantwortlichen Stelle besteht dementsprechend die Pflicht, dem Betroffenen Auskunft zu erteilen. Das Recht auf Auskunft sowie auf Berichtigung, Löschung oder Sperrung kann nicht ausgeschlossen oder beschränkt werden. Das Auskunftsrecht sowie das Recht auf Berichtigung, Löschung oder Sperrung von Daten besteht gegenüber öffentlichen Stellen (§§19, 20 BDSG) und gegenüber nicht-öffentlichen Stellen (§§34, 35 BDSG). Die Stelle hat auf Antrag des Betroffenen ihm gegenüber Auskunft auf die über ihn gespeicherten Daten und dessen Herkunft, eventuelle Kategorien von Empfängern und den Zweck der Speicherung zu erteilen. Des Weiteren müssen personenbezogene Daten berichtigt werden, sofern sie unrichtig sind. Bei unzulässiger Speicherung und Wegfall der Erforderlichkeit sind personenbezogene Daten zu löschen. Eine Sperrung der Daten muss dann erfolgen, wenn eine Löschung gesetzlichen Aufbewahrungsfristen zuwider läuft, schutzwürdige Interessen des Betroffenen beeinträchtigt werden oder der Aufwand einer Löschung unverhältnismäßig hoch ist.


Was ist die Meldepflicht?

In §4d BDSG wird die verantwortliche Stelle dazu verpflichtet, Verfahren automatisierter Verarbeitungen vor ihrer Inbetriebnahme zu melden. Nicht-öffentliche Stellen müssen dies bei der zuständigen Aufsichtsbehörde tätigen und öffentliche Stellen bei dem Bundesdatenschutzbeauftragten. Die Meldung muss die in §4e BDSG aufgelisteten Angaben beinhalten. Diese sind zum Beispiel der Name und die Anschrift der verantwortlichen Stelle sowie der Zweck der Erhebung. Sofern die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat, entfällt die Meldepflicht. Sie entfällt auch, wenn die personenbezogenen Daten für eigene Zwecke erhoben, verarbeitet und genutzt werden und in der Regel höchstens neun Personen ständig beschäftigt sind und eine Einwilligung oder es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist.


Was macht die Datenschutzaufsichtsbehörde?

Die Aufsichtsbehörde hat hauptsächlich eine Kontrollfunktion. Die Aufgaben sind in §38 BDSG festgehalten. Diese umfassen die Kontrolle über die Ausführung des Bundesdatenschutzgesetz und weiterer Gesetze über den Datenschutz. Weiterhin berät und unterstützt die Aufsichtsbehörde die Datenschutzbeauftragten der verantwortlichen Stellen. Sie muss die verantwortlichen Stellen über Datenschutzverstöße unterrichten und ist berechtigt, Verstöße anzuzeigen.


Wie werden Dienstleister datenschutzrechtlich verpflichtet?

Auch Dienstleister müssen die datenschutzrechtlichen Vorgaben beachten und sich konform verhalten. Um dies sicherzustellen, muss eine Verpflichtung auf das Datengeheimnis zu unterzeichnen (§5 BDSG). Darin wird der Dienstleister verpflichtet, personenbezogene Daten unbefugt zu erheben, verarbeiten oder nutzen. Die Verpflichtung muss bei Aufnahme der Tätigkeit unterzeichnet werden. Die Verpflichtung auf das Datengeheimnis gilt über die Dauer der Tätigkeit fort, endet also nicht mit der Beendigung der Tätigkeit.


Was sind Auftragsdatenverarbeiter?

Auftragsdatenverarbeiter sind Stellen, die Daten im Auftrag für die verantwortliche Stelle verarbeiten. Geregelt ist die Auftragsdatenverarbeitung in §11 BDSG. Die Verantwortung für und somit die Kontrolle über die datenschutzrechtlich konforme Durchführung der Datenverarbeitung bleibt bei der verantwortlichen Stelle, also dem Auftraggeber. Sie wird nicht auf den Auftragsdatenverarbeiter, also den Auftragnehmer, übertragen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig über die technisch-organisatorischen Maßnahmen aus der Anlage zu §9 BDSG des Auftragsnehmers sowie dessen Einhaltung zu überzeugen. Das Ergebnis muss von ihm dokumentiert werden. Des Weiteren ist auch der Auftrag schriftlich zu erteilen. Beispiele für Auftragsdatenverarbeitungen sind die Auslagerung der Gehaltsabrechnungen, Direktmarketing- Verträge (Versand von Newslettern etc.) oder wenn IT- Ressourcen wie Online- Speicherplatz zur Verfügung gestellt wird. Die Weitergabe zwischen Auftraggeber und Auftragnehmer stellt keine Übermittlung im datenschutzrechtlichen Sinne dar und bedarf keiner Einwilligung der Betroffenen. Sie werden als eine Stelle gesehen.


Was muss bei der Übermittlung personenbezogener Daten ins Ausland beachtet werden?

Grundsätzlich dürfen personenbezogene Daten übermittelt werden, wenn sie nach §§28, 29 BDSG zulässig ist. Dies ist dann der Fall, wenn die Übermittlung dem eigenen Geschäftszweck dient und für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist oder es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist.  Bei der Übermittlung ins Ausland in zwei Gruppen unterteilt werden. Es muss zwischen der Übermittlung innerhalb und außerhalb Europas unterschieden werden. Als Übermittlung innerhalb Europa gilt die Übermittlung an alle EU-Länder, an die Staaten des Europäischen Wirtschaftraumes (wozu Norwegen, Lichtenstein und Island zählen) sowie einzelne Länder, die ein vergleichbares Datenschutzniveau haben und von daher von der EU-Kommission anerkannt sind, hierzu zählen zum Beispiel Kanada, Argentinien und die Schweiz. Werden personenbezogene Daten von Deutschland aus in ein Land dieser Gruppe, also innerhalb Europas, übermittelt, müssen keine weiteren Voraussetzungen beachtet oder erfüllt werden. Anders sieht es bei der Übermittlung in ein Land außerhalb Europas aus. Zu dieser Gruppe zählen alle Länder, die kein gleichwertiges Datenschutzniveau wie Deutschland haben. Die Datenübermittlung ist dann grundsätzlich zu unterlassen und nur ausnahmsweise bei Erfüllung zusätzlicher Bedingungen zu tätigen. Eine Bedingung ist, wenn der Betroffene in die Übermittlung in das bestimmte Land eingewilligt hat. Die Übermittlung ist auch zulässig, wenn sie zur Wahrung lebenswichtiger Interessen des Betroffenen dient oder sie zur Vertragserfüllung mit dem Betroffenen erforderlich ist. Eine letzte Bedingung unter der eine Übermittlung in ein Land außerhalb Europas möglich ist, ist bei Bestehen ausreichender Garantien, wie Vertragsklauseln oder verbindliche Unternehmensregeln, die dem europäischen Datenschutzstandard gerecht werden.


Welche Regelungen gelten für den Datenverkehr mit dem Ausland?

Innerhalb der EU gelten Datenschutzbestimmungen, die den EU-Datenschutzrichtlinien entsprechen und von daher vergleichbar mit den deutschen Regelungen sind. Für den Datenverkehr mit Ländern außerhalb der EU muss geprüft werden, ob die dort geltenden Datenschutzbestimmungen dem Standard der EU entsprechen oder ob eventuell zusätzliche Vereinbarungen getroffen werden. Zu beachten ist vor Allem, dass solche Sondervereinbarungen mit Unternehmen mit Sitz in den Vereinigten Staaten getroffen werden müssen.